Solucionado: ¿Por qué el traceroute de terminal VPN de Anyconnect es diferente de la tabla de rutas ASA?

Translator · ‎10-27-2023

Hola.

Cuando Anyconnect

endpoint traceroute to 172.25.1.1,it exits ASA5525 public outside interfacee (which is 0.0.0.0 0.0.0.0 LAN default route.) (Tunneled default route is 172.16.x.x = inside interface)

ASA5525# sh route 172.25.1.1
Routing entry for 172.25.0.0 255.255.0.0 Known via "eigrp 1", distance 170, metric 282112, type external Redistributing via eigrp 1 Last update from 172.16.28.66 on inside, Routing Descriptor Blocks: * 172.16.28.66 , from 172.16.28.66 , 0:59:30 ago, via inside

ASA5525# sh route
!! output pruned. !!
Gateway of last resort is 60.1.6.5 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 65.51.196.65, outside
D EX 172.25.0.0 255.255.0.0
[170/282112] via 172.16.28.66, inside
S 0.0.0.0 0.0.0.0 [255/0] via 172.16.1.1, inside tunneled

ASA5525 # traceroute 172.25.1.1
1 172.16.28.66 1 msec 1 msec 1 msec
3 172.25.1.1 11 msec 10 msec 10 msec
trace complete.
=====

Mi conexión WebVPN de estación de trabajo a través de este

ASA5525...
>TRACERT 172.25.1.1
1 13 ms * 13 ms    60.1.6.5
2 26 ms 25 ms 30 ms   172.25.1.1

PREGUNTA: ¿Por qué mi estación de trabajo conectada WebVPN enruta a este

172.25.1.1

destino a través del

ASA outside interface

, en lugar de la ruta enumerada a través del

inside interface

"?

Gracias.

Translator · ‎10-27-2023

Tal vez hay algo que no estoy entendiendo en su situación. Pero me parece que la explicación es que la estación de trabajo está llegando a su ASA utilizando un túnel encriptado y que el

outside interface

es donde se conecta el túnel.

Ver la solución en mensaje original publicado

Translator · ‎10-27-2023

Tal vez hay algo que no estoy entendiendo en su situación. Pero me parece que la explicación es que la estación de trabajo está llegando a su ASA utilizando un túnel encriptado y que el

outside interface

es donde se conecta el túnel.

Translator · ‎10-27-2023

Así que estás diciendo que...

workstation>TRACERT 172.25.1.1
1 13 ms * 13 ms    60.1.6.5
2 26 ms 25 ms 30 ms   172.25.1.1

---

...60.1.6.5

es el primer salto a la LAN. Pues bien, como se ve en el traceroute ASA

...

---

ASA5525# traceroute 172.25.1.1
1 172.16.28.66 1 msec 1 msec 1 msec
3 172.25.1.1 11 msec 10 msec 10 msec
trace complete.

---

...¿Por qué no

172.16.28.66

aparecen en el

workstation traceroute?

(Este es un salto importante en el circuito; es un túnel DMVPN. Necesito confirmar que este tráfico de Anyconnect está atravesando este túnel DMVPN.)

Translator · ‎10-27-2023

La pregunta original era por qué

tracert

desde la estación de trabajo utilizó el ASA externo como salto siguiente. Creo que mi sugerencia aborda eso. Ahora la pregunta es por qué lo hace

tracert

desde la estación de trabajo, consulte la

172.25.1.1

sin ver

172.16.28.66.

No sé lo suficiente sobre su entorno como para tener una explicación para eso.

Translator · ‎10-27-2023

Me alegra que mi sugerencia sobre la primera pregunta haya sido útil. Gracias por marcarlo como resuelto. Lamento que no hayamos avanzado en la segunda cuestión, pero me he dado cuenta de que explicar los detalles de su entorno podría haber puesto de manifiesto cierta información sensible que no es apropiada en un foro público como este.